Nghị định 13/2023/NĐ-CP: Cẩm Nang Chi Tiết Về Bảo Vệ Dữ Liệu Cá Nhân Cần Biết

Trong kỷ nguyên số, dữ liệu cá nhân (DLCN) là một tài sản vô giá, đặc biệt đối với độc giả của “Du lịch rẻ” – những người thường xuyên đặt vé, đặt phòng và chia sẻ thông tin trên không gian mạng, kể cả khi ghé thăm những địa điểm nổi tiếng như thành phố nam ninh. Để bảo vệ quyền riêng tư hợp pháp của công dân Việt Nam, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (NĐ 13). Có hiệu lực từ ngày 01/7/2023, Nghị định này được xem là khuôn khổ pháp lý toàn diện nhất, thiết lập các nguyên tắc, quyền lợi và trách nhiệm rõ ràng cho mọi hoạt động xử lý dữ liệu tại Việt Nam.

Với vai trò là người đồng hành đáng tin cậy, bài viết này sẽ phân tích chuyên sâu các điểm cốt lõi của Nghị định 13/2023/NĐ-CP, giúp bạn, với tư cách là Chủ thể dữ liệu, hiểu rõ về quyền của mình và các doanh nghiệp (Bên Kiểm soát/Xử lý dữ liệu) nắm vững trách nhiệm tuân thủ để tránh những rủi ro pháp lý và nâng cao uy tín trong mắt khách hàng.

I. Hiểu Đúng Về Dữ Liệu Cá Nhân (DLCN) Theo Nghị định 13/2023/NĐ-CP

Nghị định 13/2023/NĐ-CP định nghĩa DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

DLCN được chia thành hai nhóm rõ rệt, mỗi nhóm có mức độ bảo vệ khác nhau:

1. Dữ liệu Cá nhân Cơ bản

Đây là những thông tin giúp nhận dạng cá nhân, bao gồm:

• Họ, tên khai sinh, ngày/tháng/năm sinh, giới tính, nơi sinh, nơi thường trú, nơi ở hiện tại.
• Quốc tịch, hình ảnh cá nhân.
• Số điện thoại, CCCD/CMND, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe.
• Thông tin về tình trạng hôn nhân, quan hệ gia đình (cha mẹ, con cái).
• Thông tin về tài khoản số cá nhân và lịch sử hoạt động trên không gian mạng.

2. Dữ liệu Cá nhân Nhạy cảm

Đây là nhóm dữ liệu gắn liền với quyền riêng tư và nếu bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, đòi hỏi các biện pháp bảo mật nâng cao (Điều 4). Các loại dữ liệu này bao gồm:

• Quan điểm chính trị, quan điểm tôn giáo.
• Tình trạng sức khỏe, đời tư được ghi trong hồ sơ bệnh án (trừ nhóm máu).
• Thông tin liên quan đến nguồn gốc chủng tộc, dân tộc, đặc điểm di truyền, đặc điểm sinh học riêng.
• Thông tin về đời sống tình dục, xu hướng tình dục.
• Dữ liệu về tội phạm, hành vi phạm tội được cơ quan pháp luật thu thập.
• Thông tin khách hàng của tổ chức tín dụng, ngân hàng, tổ chức thanh toán trung gian (gồm thông tin tài khoản, tiền gửi, giao dịch, tài sản gửi).
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị (Ví dụ: dữ liệu GPS khi bạn đang du lịch hòn sơn).

II. 8 Nguyên Tắc Vàng Trong Bảo Vệ Dữ Liệu Cá Nhân

Theo Điều 3 của Nghị định 13/2023/NĐ-CP, hoạt động xử lý DLCN phải tuân thủ nghiêm ngặt 8 nguyên tắc sau:

1. Nguyên tắc hợp pháp: Dữ liệu cá nhân phải được xử lý theo đúng quy định của pháp luật.
2. Nguyên tắc minh bạch: Chủ thể dữ liệu (người dùng) phải được biết về hoạt động xử lý DLCN của mình (trừ trường hợp luật có quy định khác).
3. Nguyên tắc giới hạn mục đích: DLCN chỉ được xử lý đúng với mục đích đã được đăng ký, tuyên bố hoặc đã được Chủ thể dữ liệu đồng ý.
4. Nguyên tắc tối thiểu hóa: DLCN thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Đặc biệt, DLCN không được mua, bán dưới mọi hình thức (trừ trường hợp luật có quy định khác).
5. Nguyên tắc chính xác: DLCN được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Nguyên tắc toàn vẹn, bảo mật: Phải áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, chống lại các hành vi vi phạm hoặc mất mát, phá hủy do sự cố.
7. Nguyên tắc lưu trữ giới hạn: DLCN chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý, trừ trường hợp pháp luật có quy định khác.
8. Nguyên tắc trách nhiệm giải trình: Bên Kiểm soát dữ liệu phải chịu trách nhiệm tuân thủ các nguyên tắc này và chứng minh sự tuân thủ của mình.

III. Quyền và Nghĩa vụ Của Chủ Thể Dữ Liệu (Khách Du Lịch/Người Dùng)

Nghị định 13/2023/NĐ-CP trao cho Chủ thể dữ liệu (người có dữ liệu) 11 quyền cơ bản nhằm kiểm soát DLCN của mình một cách tối đa, đồng thời cũng quy định rõ các nghĩa vụ cần thực hiện.

1. 11 Quyền Cốt Lõi

2. Nghĩa vụ của Chủ thể Dữ liệu (Điều 10)

Đi đôi với quyền lợi là những nghĩa vụ quan trọng:

• Tự bảo vệ dữ liệu cá nhân của mình, yêu cầu tổ chức, cá nhân khác bảo vệ DLCN của mình.
• Tôn trọng, bảo vệ DLCN của người khác.
• Cung cấp đầy đủ, chính xác DLCN khi đồng ý cho phép xử lý.
• Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ DLCN.
• Thực hiện các quy định pháp luật về bảo vệ DLCN.

IV. Quy định về Sự Đồng ý: Nền tảng của Xử lý Dữ liệu

Sự đồng ý của Chủ thể dữ liệu là yếu tố bắt buộc đối với hầu hết các hoạt động xử lý DLCN (Điều 11), trừ các trường hợp khẩn cấp, theo quy định của luật hoặc phục vụ hoạt động cơ quan nhà nước (Điều 17).

1. Yêu cầu về sự đồng ý hợp lệ

Sự đồng ý chỉ có hiệu lực khi Chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

• Loại dữ liệu cá nhân sẽ được xử lý.
• Mục đích xử lý dữ liệu.
• Tổ chức, cá nhân được xử lý DLCN.
• Các quyền, nghĩa vụ của Chủ thể dữ liệu.

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, hoặc hành động thể hiện sự đồng ý. Đặc biệt, sự im lặng hoặc không phản hồi KHÔNG được coi là sự đồng ý.

2. Xử lý Dữ liệu Cá nhân trong Du lịch: Một góc nhìn (Chèn Link Nội bộ)

Trong ngành du lịch, việc thu thập DLCN là thiết yếu. Khi bạn đăng ký tour, đặt phòng khách sạn, hay tham gia các hoạt động ở những nơi linh thiêng như chùa trình yên tử, bạn cần cung cấp thông tin. Các doanh nghiệp du lịch phải đảm bảo:

• Minh bạch: Giải thích rõ ràng DLCN (họ tên, CCCD) được thu thập để làm gì (đặt phòng, mua bảo hiểm, làm thủ tục hải quan).
• Giới hạn Mục đích: Không thể dùng DLCN thu thập để làm thủ tục check-in để tự động gửi các email marketing mà không có sự đồng ý riêng.
• Rút lại Đồng ý: Khi hợp đồng đã kết thúc, bạn có quyền rút lại sự đồng ý cho việc lưu trữ DLCN không cần thiết.

V. Trách Nhiệm Tuân Thủ Của Doanh Nghiệp (Bên Kiểm soát/Xử lý Dữ liệu)

Doanh nghiệp đóng vai trò là Bên Kiểm soát/Xử lý DLCN có trách nhiệm nặng nề trong việc bảo vệ thông tin của khách hàng.

1. Trách nhiệm của Bên Kiểm soát Dữ liệu Cá nhân (Điều 38)

Bên Kiểm soát DLCN là tổ chức quyết định mục đích và phương tiện xử lý DLCN, bao gồm:

• Thực hiện các biện pháp tổ chức, kỹ thuật, an toàn, bảo mật để chứng minh sự tuân thủ.
• Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý DLCN.
• Thông báo hành vi vi phạm (sự cố rò rỉ, mất dữ liệu) cho Bộ Công an chậm nhất 72 giờ sau khi xảy ra (Điều 23).
• Bảo đảm thực hiện đầy đủ các quyền của Chủ thể dữ liệu.
• Chịu trách nhiệm trước Chủ thể dữ liệu về các thiệt hại do quá trình xử lý DLCN gây ra.

2. Quy định về Xử lý DLCN của Trẻ em và Người đã mất (Điều 19, 20)

• Trẻ em (Dưới 16 tuổi): Việc xử lý DLCN của trẻ em luôn theo nguyên tắc vì lợi ích tốt nhất của trẻ. Phải có sự đồng ý của trẻ em (nếu từ đủ 7 tuổi trở lên) và cha, mẹ hoặc người giám hộ. Bên Kiểm soát phải xác minh tuổi của trẻ em trước khi xử lý.
• Người đã mất/Mất tích: Phải có sự đồng ý của vợ, chồng, con thanh niên, hoặc cha mẹ của người đó (theo thứ tự ưu tiên).

3. Quy định Đặc thù trong Kinh doanh (Điều 21)

Đối với các dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo (marketing):

• Chỉ được sử dụng DLCN của khách hàng để kinh doanh dịch vụ tiếp thị khi có sự đồng ý riêng của Chủ thể dữ liệu.
• Sự đồng ý này phải trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
• Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải có trách nhiệm chứng minh việc sử dụng DLCN là đúng quy định.

VI. Đánh giá Tác động và Chuyển Dữ liệu Cá nhân Ra Nước Ngoài

Đối với các công ty du lịch lữ hành, đặc biệt là các đơn vị tổ chức tour quốc tế đến những địa danh như chùa phật ngọc thượng hải, việc chuyển DLCN ra nước ngoài là hoạt động thường xuyên và bị kiểm soát chặt chẽ.

1. Đánh giá Tác động Xử lý Dữ liệu Cá nhân (Điều 24)

Bên Kiểm soát/Xử lý DLCN phải lập và lưu trữ Hồ sơ Đánh giá tác động xử lý DLCN từ thời điểm bắt đầu xử lý. Hồ sơ này bao gồm:

• Thông tin và chi tiết liên lạc của các bên liên quan.
• Mục đích, loại DLCN được xử lý, thời gian xử lý/lưu trữ.
• Mô tả các biện pháp bảo vệ DLCN được áp dụng.
• Đánh giá mức độ ảnh hưởng, hậu quả, thiệt hại không mong muốn và các biện pháp giảm thiểu.

Bên Kiểm soát/Xử lý phải gửi 01 bản chính Hồ sơ này tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN.

2. Quy định về Chuyển Dữ liệu Cá nhân Ra Nước Ngoài (Điều 25)

DLCN của công dân Việt Nam được chuyển ra nước ngoài (ví dụ: gửi thông tin khách hàng cho hãng hàng không quốc tế, khách sạn nước ngoài) chỉ khi:

• Bên chuyển DLCN ra nước ngoài lập Hồ sơ Đánh giá tác động chuyển DLCN ra nước ngoài và gửi Bộ Công an trong 60 ngày.
• Phải có sự đồng ý của Chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại.
• Phải có văn bản thể hiện sự ràng buộc, trách nhiệm giữa Bên chuyển và Bên tiếp nhận về việc xử lý DLCN.

Bộ Công an có quyền yêu cầu Bên chuyển ngưng chuyển DLCN ra nước ngoài nếu phát hiện dữ liệu được sử dụng vào hoạt động vi phạm an ninh quốc gia, lợi ích Việt Nam, hoặc xảy ra sự cố lộ, mất DLCN của công dân Việt Nam.

VII. Các Hành vi Bị Nghiêm Cấm và Cơ Quan Chuyên Trách

1. Các Hành vi Bị Nghiêm Cấm (Điều 8)

Các hành vi sau đây bị nghiêm cấm:

• Xử lý DLCN trái với quy định.
• Xử lý DLCN để chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
• Xử lý DLCN để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
• Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
• Lợi dụng hoạt động bảo vệ DLCN để vi phạm pháp luật.
• Thu thập, chuyển giao, mua, bán trái phép DLCN (Điều 22).

Các cơ quan, tổ chức, cá nhân vi phạm sẽ bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc xử lý hình sự tùy theo mức độ (Điều 4).

2. Cơ quan Chuyên trách và Cổng Thông tin Quốc gia (Điều 29)

• Cơ quan chuyên trách: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Cơ quan này có trách nhiệm tiếp nhận hồ sơ đánh giá tác động, thông báo vi phạm, và đánh giá công tác bảo vệ DLCN.
• Cổng Thông tin Quốc gia: Là nơi cung cấp thông tin, phổ biến chính sách, tiếp nhận thông báo vi phạm và cảnh báo về nguy cơ xâm phạm DLCN.

Kết Luận: Nâng Cao Ý Thức Bảo Vệ Dữ Liệu Cá Nhân

Nghị định 13/2023/NĐ-CP là một bước tiến quan trọng trong việc củng cố quyền bảo vệ dữ liệu cá nhân tại Việt Nam. Đối với người dùng, việc nắm vững 11 quyền cốt lõi, đặc biệt là quyền rút lại sự đồng ý và yêu cầu xóa dữ liệu, sẽ giúp bạn kiểm soát tốt hơn thông tin cá nhân của mình, ngay cả khi đang tận hưởng những trải nghiệm thú vị ở phú yên có gì đẹp.

Đối với các doanh nghiệp, đây là lúc cần rà soát lại toàn bộ quy trình thu thập, xử lý và lưu trữ dữ liệu để đảm bảo tuân thủ nghiêm ngặt, đặc biệt là các quy định về lấy sự đồng ý hợp lệ, lưu trữ có giới hạn, và quy trình chuyển dữ liệu ra nước ngoài. Việc đầu tư vào các biện pháp quản lý và kỹ thuật bảo mật không chỉ là trách nhiệm pháp lý mà còn là yếu tố then chốt để xây dựng lòng tin, khẳng định uy tín và chất lượng dịch vụ trong mắt khách hàng.

Tài liệu Tham khảo

• Chính phủ. (2023). Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về Bảo vệ dữ liệu cá nhân.